Vlastní certifikáty

Komunikace jednotlivých komponent ERA infrastruktury je šifrována pomocí certifikátu, které vystavuje vestavěná ERA certifikační autorita. Pokud vlastníte infrastrukturu vlastních klíčů PKI, můžete si vygenerovat vlastní certifikáty a ty následně použít pro ověřování komunikace.

icon_details_hoverPoznámka:

Tento návod popisuje generování Windows Server 2012 R2. Mějte na paměti, že na starším operačním systému může být postup odlišný.

Jednodušší možností je vygenerovat si certifikáty prostřednictvím nástroje keytool, který je součástí doplňku Java. Více informací naleznete v Databázi znalostí.

Vyžadované serverové role:

Active Directory Domain Services.

Active Directory Certificate Services s nainstalovanou Stand-Alone Root CA.

 

1.Otevřete Management Console a přidejte snap-in Certificates:

Přihlaste se na server jako administrátor.

Pomocí příkazu mmc.exe otevřete konzolu pro správu.

V hlavním menu klikněte na File a vyberte možnost Add/Remove Snap-in… (případně stiskněte klávesovou zkratku CTRL+M).

Vyberte položku Certificates a klikněte na tlačítko Add.

using_custom_certificate_02

Vyberte Computer Account a klikněte na tlačítko Next.

Ujistěte se, že jste vybrali možnost Local Computer a klikněte na tlačítko Finish.

Akci dokončete kliknutím na OK.

2.Vytvořte Custom Certificate Request:

Ve stromové struktuře přejděte do větve Certificates (Local Computer) > Personal.

Klikněte na Certificates a z kontextové menu vyberte All Tasks > Advanced Operations > Create Custom Request...

using_custom_certificate_05

V průvodci vydáním certifikátu klikněte na tlačítko Next.

Vyberte možnost Proceed without enrollment policy a pokračujte kliknutím na tlačíkto Next.

using_custom_certificate_06

Z rozbalovacího menu vyberte možnost (No Template) Legacy Key a ujistěte se, že máte vybrán formát PKCS #10. Pokračujte kliknutím na tlačítko Next.

using_custom_certificate_07

Rozbalte sekci Details a klikněte na tlačítko Properties.

using_custom_certificate_08

Na záložce General zadejte Friendly name, volitelně popis.

Na záložce Subject:

V sekci Subject name vyberte z rozbalovacího jména Type položku Common Name. Jako hodnotu zadejte era server a klikněte na tlačítko Add. Následně se v pravém poli zobrazí informace CN=era server. Pokud vytváříte žádost o vydání certifikátu (CSR) pro ERA Agenta nebo ERA Proxy, jako Common Name zadejte era agent, resp. era proxy.

validation-status-icon-infoPoznámka: V závislosti na komponentě musí Common Name obsahovat jeden z těchto řetězců: "server", "agent" nebo "proxy".

using_custom_certificate_09

V sekci Alternative name vyberte z rozbalovacího jména Type položku DNS. Jako hodnotu zadejte hvězdičku (*) a klikněte na tlačítko Add

Na záložce Extensions rozbalte sekci Key usage. Do seznamu Select options přidejte Digital signature, Key agreement, Key encipherment. Odškrtněte možnost Make these key usages critical.

using_custom_certificate_10

Na záložce Private Key:

Rozbalte sekci Cryptographic Service Provider. Následně uvidíte všechny kryptografické poskytovatele (CSP). Ponechte vybranou pouze položku Microsoft RSA SChannel Cryptographic Provider (Encryption).

using_custom_certificate_11

Rozbalte sekci Key Options. Z menu Key size vyberte alespoň 2048. Dále zaškrtněte možnost Make private key exportable.

Rozbalte sekci Key Type a vyberte možnost Exchange. Klikněte na tlačítko Apply a zkontrolujte nastavení.

Pokračujte kliknutím na tlačítko OK. Zobrazí se informace o certifikátu, klikněte na tlačítko Next. Klikněte na tlačítko Browse a umístění, do kterého chcete žádost (CSR) uložit. Následně zadejte název souboru a ujistěte se, že máte vybranou možnost Base 64.

using_custom_certificate_12

Žádost vygenerujete kliknutím na tlačítko Finish.

3.Importujte Custom Certificate Request a vydejte Custom Certificate z čekajících žádostí.

Otevřete Server Manager, klikněte na Tools > Certification Authority.

Ze stromové struktury vyberte Certification Authority (Local). Dále klikněte na váš server a z kontextového menu vyberte Properties. Přejděte na záložku Policy Module a klikněte na tlačítko Properties.... Ujistěte, že jste nastavili Set the certificate request status to pending. Dále musíte mít vybranou možnost The administrator must explicitly issue the certificate. V opačném případě nebude generování fungovat. Změna tohoto nastavení může vyžadovat restart Active Directory CA služby.

using_custom_certificate_13

Ze stromové struktury vyberte Certification Authority (Local). Dále klikněte na váš server a z kontextového menu vyberte > All Tasks > Submit new request.... Vyberte žádost (CSR soubor), který jste získali v kroku 2.

Certifikát se přidá do seznamu Pending Requests. Vyberte konkrétní CSR a z menu Action vyberte možnost All Tasks > Issue.

using_custom_certificate_14

4.Exportujte Issued Custom Certificate do .pfx souboru.

V levé části okna vyberte možnost Issued Certificates. Klikněte na certifikát, který chcete exportovat, a z kontextového menu vyberte možnost All Tasks > Export Binary Data...

V okně Export Binary Data vyberte z rozbalovacího menu možnost Binary Certificate. V části Export klikněte na Save binary data to a file a potvrďte kliknutím na OK.

using_custom_certificate_15

V okně Save Binary Data vyberte umístění, do kterého chcete certifikát uložit a akci dokončete kliknutím na tlačítko Save.

5.Importujte .tmp soubor.

Ze stromové struktury vyberte Certificate (Local Computer) > Personal. Z kontextového menu vyberte možnost All Tasks > Import...

Klikněte na tlačítko Next...

Klikněte na tlačítko Browse... a vyberte uložený .tmp binární soubor. Dále vyberte vyberte možnost Place all certificates in the following store > Personal a pokračujte kliknutím na tlačítko Next.

Certifikát importujete kliknutím na tlačítko Finish.

6.Exportujte certifikát včetně privátního klíče do .pfx souboru.

Ze stromové struktury vyberte Certificates (Local Computer) > Personal > Certificates. Vyberte certifikát, který chcete exportovat v kontextovém menu klikněte na All Tasks > Export...

V průvodci exportováním vyberte možnost Yes, export the private key. (Tato možnost se zobrazí pouze v případě, kdy je umožněn export privátního klíče.)

V sekci Export File Format vyberte možnost To include all certificates in the certification path, select the Include all certificates in the certification path if possible a pokračujte kliknutím na tlačítko Next.

using_custom_certificate_16

Zadejte heslo, které bude chránit privátní klíč a pokračujte kliknutím na tlačítko Next.

using_custom_certificate_17

Vyberte umístění, kam chcete certifikát v .pfx formátu uložit. Pokračujte kliknutím na tlačítko Next a Finish.

icon_details_hoverPoznámka:

Podle stejných kroků můžete vygenerovat certifikát pro ERA Agenta i ERA Proxy.

7.Exportujte certifikační autoritu:

a)Otevřete si správce serveru a klikněte na Tools > Certification Authority.

b)Ve stromu Certification Authority (Local) vyberte Your Server (usually FQDN) > Properties > General a klikněte na View Certificate.

c)Na záložce Details klikněte na tlačítko Copy to File. Následně se zobrazí dialogové okno Certificate Export Wizard.

d)V dialogovém okně Export File Format vyberte DER encoded binary X.509 (.CER) a klikněte na tlačítko Next.

e)Klikněte na tlačítko Browse a vyberte umístění, do kterého chcete .cer soubor uložit, a akci potvrďte kliknutím na tlačítko Next.

f)Kliknutím na tlačítko Dokončit exportujete certifikační autoritu.

 

Nakonfigurujte komponenty ERA infrastruktury tak, aby používaly vaše certifikáty.